← Emplica®

Politique de sécurité

Dernière mise à jour 2026-05-01

Emplica prend la sécurité de ses utilisateurs au sérieux. Cette politique encadre la divulgation responsable de vulnérabilités sur l'ensemble de nos services (site emplica.fr et applications mobiles Carezy, Nightly, Streamline, Awa, Chapelize).

Périmètre

Sont concernés par la présente politique :

  • Le site emplica.fr et ses sous-domaines
  • Les applications mobiles publiées sur l'App Store et Google Play sous l'éditeur Kouaho Francis EI
  • Les API back-end accessibles depuis ces applications

Sont exclus du périmètre les services tiers (Vercel, Apple, Google, Resend, PostHog, Sentry, RevenueCat) qui disposent de leurs propres programmes de divulgation responsable.

Divulgation responsable

Si vous identifiez une vulnérabilité, nous vous demandons de respecter les engagements suivants :

  • Nous notifier en priorité avant toute divulgation publique, à [email protected]
  • Ne pas exploiter la faille au-delà de ce qui est nécessaire à sa démonstration
  • Ne pas accéder, modifier ou supprimer des données ne vous appartenant pas
  • Ne pas perturber le fonctionnement des services
  • Nous laisser un délai raisonnable pour corriger avant publication (90 jours minimum)

En contrepartie, Emplica s'engage à accuser réception sous 72 heures, à vous tenir informé du traitement, à ne pas engager de poursuite contre les chercheurs respectant cette politique, et à vous citer publiquement (avec votre accord).

Comment signaler

Envoyez un email à [email protected] contenant :

  • Une description détaillée de la vulnérabilité
  • Les étapes de reproduction (proof of concept)
  • L'impact potentiel
  • Vos coordonnées et nom à utiliser pour la mention publique (si souhaitée)

Pour les rapports sensibles, vous pouvez chiffrer votre email avec notre clé PGP disponible sur demande à la même adresse.

Vulnérabilités hors périmètre

Les éléments suivants ne sont généralement pas considérés comme des vulnérabilités :

  • Absence de certaines en-têtes de sécurité non critiques
  • Bugs non exploitables ou nécessitant des conditions hautement improbables
  • Self-XSS sans vecteur d'exploitation
  • Déni de service par épuisement de ressources (rate limiting standard)
  • Failles dans des bibliothèques tierces sans démonstration d'exploitabilité
  • Spam, phishing ou ingénierie sociale visant nos collaborateurs ou utilisateurs

Programme de récompense

Emplica n'opère pas à ce jour de programme de bug bounty officiel rémunéré. Les chercheurs ayant contribué à améliorer la sécurité de nos services peuvent toutefois être cités dans un "Hall of Fame" publié sur cette page (avec leur accord), et recevoir un courrier de remerciement officiel.

Hall of Fame

Aucune contribution publique à ce jour. Soyez le premier à nous aider à améliorer la sécurité d'Emplica.

Contact

[email protected]